Zugriffsrechte üb.2 Netzwerkadapter unterschiedl. definieren

  • Hi folks,
    Wie ich grade merke, hab ich mir damit mal wieder was richtig kniffeliges vorgenommen. Mit Windows scheint das nämlich nicht so einfach zu sein wie unter Linux...


    Bevor ich nun anfange, wild an den Netzwerkeinstellungen herumzuschrauben, lege ich euch mal mein Vorhaben zwecks Brainstorming vor: Wie mach ich das am gescheitesten?


    Zielszenario:
    Rechner mit 2 Netzwerkkarten, die eine davon hängt mit 10MBit über Router an Internet und WLAN, ist also quasi "halböffentlich". Die andere dient mit 100MBit dem schnellen internen Datenaustausch zwischen zwei parallel genutzten Rechnern. Beide Karten haben Adressen aus unterschiedlichen Subnetzen (da Windows anscheinend Probleme damit bekommt, einen Rechnernamen innerhalb nur eines Subnetzes unter zwei verschiedenen IP's zu finden aber zugleich auch keine unterschiedlichen Alias-Namen für die beiden Netzwerkkarten unterstützt, sondern nur *einen* Computernamen.)
    Wie kann ich nun mit Windows-Boardmitteln erreichen, daß über die eine Netzwerkkarte (also in dem einen Subnetz) unabhängig vom verwendeten Account nur ausgewählte Verzeichnisse zugänglich sind, hingegen über die andere Netzwerkkarte (im anderen Subnetz) für einen Benutzer *ohne* administrative Rechte ein Vollzugriff auf alle Verzeichnisse des Rechners besteht? (einfache Freigaben wirken sich ja immer auf alle Adapter gleich aus) BS: Win2000Prof.
    Auf dem anderen beteiligten Rechner muß das ganze natürlich analog dazu eingestellt werden, hier ist neben dem für den internen Austausch genutzten 100MBit Anschluß ein WLAN-Adapter mit 54Mbit vorhanden, über den der Internetzugang etc. abgewickelt wird. Hier ist das Betriebssystem Win XP *home(!)*


    Oder geht das ganze etwa nicht mit Windows Boardmitteln? und wenn nicht, welche Zusatzsoftware leistet das am zuverlässigsten/einfachsten/sichersten?


    Alle Ideen sind mir willkommen


    Danke & Grüße
    Funkenzupfer.


    Nachsatz: Mir ist klar, daß ich damit eine redundante Verbindung zwischen den beiden Rechnern herstelle, und es grundsätzlich möglich ist, über beide Wege von Rechner A auf Rechner B zuzugreifen und umgekehrt. Genau das möchte ich in der beschriebenen Weise einschränken. Aber nach welchen Kriterien wählt Windows selbst eigentlich die Netzwerkkarte aus, über die es die Verbindung zum jeweils anderen Rechner aufbaut? Ich habe z.B. nichts gefunden, wo ich in WinXP(home) festlegen könnte, über welchen der beiden Adapter die Internetverbindung hergestellt wird (gut, seit ich beiden Karten in verschiedene Subnetze gelegt habe, scheint automatisch XP stets die richtige Wahl zu treffen (vorher erklärte mir das System hartnäckig sobald das 100MBit-Kabel eingestöpselt wurde, daß keine Internetverbindung mehr zu finden sei, da ich natürlich auf dem anderen PC keine Internetverbindungsfreigabe eingerichtet habe; die weiterhin bestehende WLAN-Verbindung mit Internetkonnektivität wurde von Windows geflissentlich ignoriert. 100MBit Kabel raus, und schon war Internet wieder da.) Gibt's da irgendwelche Systemrichtlinien, in denen sich das einstellen läßt?
    fuz

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

  • Hiho, auch wenn ich net viel Ahnung mit Netzwerk etc. habe, würde ich warscheinl. versuchen 2 seperate Netzwerk-Verbindungen zu erstellen, mit hilfe von dem XP-Assistenten (Arbeitsplatz/Netzwerkumgebung/Netzwerkverbindungen anzeigen/neue Verbindung erstellen)


    in diesem Assistenten dann die richtgen Einstellungen wählen, und dann bei den Verbindungen Rechtsklick dadruf/Status/eigenschaften und dann oben bei "Verbindung herstellung unter Verwendung von:" die gewünschte Karte wählen!


    Das wären meine ersten gedanken! Oder hab ich was missverstanden?

    nichts gegen die Amis, aber:
    - Das Pfeifen unter Wasser ist in Florida verboten.
    - In Oklahoma ist das Erschrecken von Hunden durch Grimassenschneiden verboten.
    - In Tennessee ist es gesetzlich verboten, Fische mit dem Lasso zu fangen.

    nihct nciht ncith cnith nicth -> alles das Selbe: NICHT dieses Wort is mir einfach zu komplex!

  • Danke, Top-se, genau das ist es was ich schon so gemacht hatte. Die zwei Verbindungen über die beiden Karten sind in den Netzwerkverbndungen eingetragen und werden angezeigt. Das Icon "Internetverbindung" fügt sich immer von selbst hinzu, sobald eine Verbindung zum Internet besteht.


    Zumindest die daran anknüpfende Teilfrage konnte ich klären, und da außer Top-se niemand hier dazu etwas geschrieben hat, gehe ich mal davon aus, daß euch das genauso unbekannt war wie mir, und poste die wesentlichen Ergebnisse:


    Windows verwendet bei mehreren aktiven Netzwerkkarten immer diejenige *für sämtlichen* ausgehenden Verkehr, welche unter den "Eigenschaften der LAN-Verbindung"-->TCP/IP-->Einstellungen, Registrierkarte "Allgemein"--> "Erweitert" die niedrigste Ziffer als "Schnittstellenmetrik" eingetragen hat. (Quelle:[url=http://www.netigator.de/netigator/live/fachartikelarchiv/ha_artikel/powerslave,id,10062183,obj,WM,np,archiv,ng,,thes,.html]Netigator[/url]) Bei mir war dort "Automatische Metrik" eingetragen, weswegen Windows in dieser Hinsicht macht was es will. Nicht ganz, denn im Microsoft Technet ist wiederum nachzulesen, daß bei Automatischer Schnittstellenmetrik diese entsprechend der vom System ermittelten Verbindungsgeschwindigkeit der Karte eingestellt wird. Je höher diese ist, desto niedriger die Ziffer. Und eine 100Mbit-Verbindung ist nun mal schneller als die 54Mbit WLAN-Verbindung, woraus sich erklärt, warum Windows plötzlich versucht über die falsche Netzwerkverbindung ins Internet zu kommen, wenn beide im selben Subnetz liegen, für das bei der einen Karte ein Gateway eingetragen ist.


    Soweit so gut. Wie aber kann ich für die jeweilige Verbindung nun bestimmte Freigaben zuordnen?


    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

  • Hallo erstmal,


    IMHO: Gar nicht.
    Was Du evtl. tun kannst, ist jeder Verbindung einen DNS-Suffix verpassen, und mit einer Host-Liste oder per Eintrag im DNS so den Computernamen für die einzelnen Verbindungen unterschiedlichen DNS-Domänen zuordnen, so das du dann zwei Computernamen nach dem Schema: MyPC.MyNet1.local und MyPC.Mynet2.local erhälst.


    Dann auf der Verbindung, die es nicht haben soll die Bindung zu Datei- und Druckerfreigabe aufheben, dann sind Freigaben nur noch über die eine erreichbar.


    Für die direkte Zuordnung von Freigaben auf Schnittstellenebene brauchtst Du schon einen Win-Server.


    Bin aber nicht ganz sicher, ob das das ist was du willst.



    Gruß


    Tobias

    Ihr aber, wenn es so weit sein wird
    Daß der Mensch dem Menschen ein Helfer ist
    Gedenkt unserer
    Mit Nachsicht.


    (Berthold Brecht - An die Nachgeborenen)

  • Hallo StS.metamensch,


    Danke für Deine klare Info!

    Zitat

    Für die direkte Zuordnung von Freigaben auf Schnittstellenebene brauchtst Du schon einen Win-Server.


    Nun, da nutze ich die verfügbare Rechenleistung doch lieber anders, als für die Netzwerkverwaltung... Gleich einen ganzen Server aufsetzen, das brauche ich wahrlich nicht. Dann entwickele ich halt wider mal einen Workaround. (Täusche ich mich, oder hab ich bei Linux genau dieses Leistungsmerkmal Netzwerkadaptergebundene Verzeichnisfreigaben ohne weitere Verrenkungen zur Verfügung?) Nun, wie dem auch sei: Ich sehe da jetzt zwei Möglichkeiten.


    Vorneweg wie Du schon vorschlägst, die Datei- und Druckerfreigabe für Microsoft-Netzwerke für den einen Adapter komplett entfernen, ebenso die übrigen Protokolle bis auf das Internetprotokoll (TCP/IP).
    Zudem in der Firewall das dem Adapter zugeordnete Netz für eingehende Verbindungen blockieren. Damit ist über diesen Weg erstmal nur noch Internetzugang möglich. Das erlaubt es, alle benötigten Laufwerke für den normalen Benutzer, nennen wir ihn mal Fritzchen, im Netzwerk für Lese- und Schreibzugriffe freizugeben (so ganz wohl ist mir nicht dabei... ist die so eine FW wirklich so dicht, daß man das machen kann?).
    Soweit habe ich das ganze jedenfalls jetzt auch schon umgesetzt, es funktioniert wie erwartet.


    Jetzt zu den zwei Wegen, die ich sehe:


    A.) Einen kleinen schnuckeligen SSL/TLS-fähigen ftp-Server aufsetzen, der es erlaubt, einzelne Verzeichnisse für Lese- oder Schreibzugriff zugänglich zu machen, völlig unabhängig von den Netzwerkfreigaben in Windows. Auf dem jeweils anderen PC würde ich diese Ordner dann unter den Netzwerkressourcen hinzufügen, sodaß über WLAN auch ohne die Direktverbindung noch ein (bewußt) eingeschränkter Datenaustausch möglich ist, und auch andere WLAN-Teilnehmer könnten eigene Zugriffsrechte erhalten. Grundsätzlich muß in der Firewall dafür ein Port im entsprechenden Netz geöffnet werden. Ist das im Zusammenhang mit den weit aufgebohrten Windows-Dateifreigaben (die ja eigentlich nur für den anderen Übertragungsweg gebraucht werden) etwa ein Sicherheitsrisiko?


    B.) Ein verschlüsseltes VPN installieren, das durch die FW und über das WLAN einen Tunnel zum anderen Rechner aufbaut. Dabei erhalten soweit ich das überblicke beide Rechner wieder eine zusätzliche IP-Adresse, die ich in der Firewall freigeben kann, und schon besteht gesicherter Zugriff mit den gleichen Rechten wie über den anderen direkten Verbindungsweg, (nur wegen Verschlüsselung und WLAN halt deutlich langsamer).


    An dieser Stelle mal kurz Halt. Fällt jemandem noch eine Alternative dazu ein?


    Ich habe nun die Variante B einmal ausprobiert, da sie mit Windows-Boardmitteln einzurichten ist. Sowohl Win2000 als auch WinXP bringen die VPN-Funktionalität mit, wobei der Zugriff bei XP home doch sehr stark unter der beschnittenen Netzwerkfunktionalität insgesamt leidet: Eine Anmeldung über Netzwerk mit Benutzername/Anmeldekennwort wird trotz entsprechender Einrichtung abgelehnt, der einzige Beutzer der sich anmelden kann ist "Gast", und das auch noch ohne jedes Paßwort. So geht das nicht. Können andere VPN's das besser, oder sind die auch auf die Windows-Benutzer-Anmeldung angewiesen?


    Zu allem Überfluß ist die Konfiguration des windowseigenen VPN scheinbar ein Unterfangen mit einigen Risiken: Hernach war beim Win2000 Rechner der Registrierschlüssel HKLM/CurrentControlSet/Services/Winsock2 geschrottet. Um übehaupt wieder netzwerken zu dürfen, habe ich den aus dem letzten Systembackup extrahiert und in die Registrierung eingespielt. Unschön: Wer da nicht genau weiß wo er suchen muß, bekommt auch mit kompletter und mühseliger Neuinstallation des TCP/IP-Protokolls, ja nichtmal mit Neueinrichten aller Netzwerkkomponenten seine Konnektivität zurück: Der Winsock2-Schlüssel wird dabei *nicht* erneuert, und erst in Windows Server 2003 gibts ein passendes Werkzeug: netdiag /test:winsock sowie netsh winsock reset . Nachzulesen hier: http://support.microsoft.com/d…&PA=1&SD=HSCH#top (Bei SP2 von XP wurde ebenfalls inzwischen nachgelegt.)
    Aus eigener Erfahrung kann ich berichten, daß bei den anderen Betriebssystemen die umständliche Prozedur des Wiederherstellens a la Microsoft nur sehr selten von Erfolg gekrönt ist, man muß meist den ganzen Rechener neu aufsetzen falls man keine Kopie des Originaleintrages hat: Auch Drittanbieter pinseln da munter ihren Kram hinein, und was da dann weg ist kann Windows auch nicht wieder herstellen...


    So, nu laß ich euch mal wieder ran. Welche der Varianten haltet ihr für die bessere, und warum? Oder gibt es noch eine viel sinnvollere, sicherere oder elegantere Lösung (außer auf Linux umzusteigen, natürlich -- das hätte an anderer Stelle zu viele Unbequemlichkeiten)


    Grüße und Vielen Dank für die Hinweise!
    Funkenzupfer

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

  • Hallo.


    Wäre es nicht einfacher die 2 PCs mit einem Switch zu verbinden?
    So hätte der eine zwar Zugriff auf den anderen PC aber nicht auf das Internet.


    Gruß Peter

    Birsctihe Frshocer hbaen haruesgfnuedn, dass es eagl ist, in whlecer Rhieenfgloe die Behsucbatn eenis Wtores sheten, slognae der etsre und ltetze Bhsucbate am rhitirgcn Pltaz sehten.

  • Eine Alternative unter win ist mir noch eingefallen:


    Installier Dir IIS, die Sites (WWW/FTP) lassen sich Netzwerkadapterbezogen konfigurieren (bzw. IP-Adressenbezogen).


    Gruß


    Tobias

    Ihr aber, wenn es so weit sein wird
    Daß der Mensch dem Menschen ein Helfer ist
    Gedenkt unserer
    Mit Nachsicht.


    (Berthold Brecht - An die Nachgeborenen)

  • Hallo Metamensch,


    kann es sein, daß es dieses IIS nur für NT4.0 und die Server-Editionen von Windows2000 /2003 gibt?


    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

  • Zitat

    Die Internet Information Services (IIS), stellen auf Microsofts Server-Plattformen Webserver-, FTP-, SMTP-, WebDAV- und Index-Dienste zur Verfügung, welche u.a. zur Veröffentlichung von Dokumenten und Dateien im Internet bzw. Intranet genutzt werden können


    ? google ?

    Acer Aspire Quad Q9300 2,5 GHz
    HDD 750 GB
    Ram 4 GB
    Vista Home Prem. SP2 64-bit

  • Eben drum.


    StS.metamensch schrieb

    Zitat

    Installier Dir IIS, die Sites (WWW/FTP) lassen sich Netzwerkadapterbezogen konfigurieren (bzw. IP-Adressenbezogen).


    Und jenau dit isset, waddet nich jibbt für xp und 2000.



    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

  • ;-)
    Was mich jetzt nervt:
    Ick weeees et jetz jerade einfach net. Drum muss ich das Mistding schnell mal installieren. Aber wehe, mein lokaler Apache leidet.


    Und siehe da.... 1. Reiter beim Aufrufen der Eigenschaften der Standardwebseite,
    zweiter Punkt von oben, direkt unter Beschreibung:


    IP ADRESSSE.....


    Keine zugeordnet heißt alle, leg eine fest, dat waret dann.


    FTP hab ich mir jetzt verkniffen, nachinstallieren bockt grad nich.


    ;-) 2 NIC's sind schon drin, oder ?? Sonst is halt grau *g* ;-)


    Gruß


    Tobias

    Ihr aber, wenn es so weit sein wird
    Daß der Mensch dem Menschen ein Helfer ist
    Gedenkt unserer
    Mit Nachsicht.


    (Berthold Brecht - An die Nachgeborenen)

  • Hallo StS.metamensch


    Ja, da hast Du recht! Danke für die Mühe mit dem Experiment! Habe grade mit großem Staunen auf der Win2000 CD die IIS-Dateien gesichtet... Die sind da wirklich drauf, ist nicht die advanced server ed, sondern ganz normal.... ich fass es nicht. Da fand ich nichts drüber auf den Winzichweich-Seiten, man wird auf der Suche nach Infos zu IIS sofort auf die Serverversionen der Betriebssysteme verwiesen :) (wie auch im Beitrag von Helloween zu lesen ist: "Serverplattformen")


    Dem XP home wird das aber das alles nichts helfen: Dieses BS leidet irgendwie dauerhaft unter Kümmerwuchs: http://support.microsoft.com/d…aspx?scid=kb;en-us;304197
    Da bleibt mir wohl doch nur VPN oder ein Drittanbieter-FTP


    Danke und Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

  • Danke Franky,


    den ersten link hatte ich auch eben entdeckt... der zweite englische ist super! Übersetzung brauch ich nicht.
    Thanks a bomb!


    Grüße ins sonnige ;) England
    Robert.


    P.S.: Ich würde mich sehr freuen, wenn Du Dich mal bei mir melden könntest... E-Mail-Adresse hast Du ja, Tel-Nummer auch. Alle Messages auf allen Kommunikationswegen scheinen Dich nicht zu erreichen, nichtmal hier über die Forums-PN. Jedenfalls kommt keine Antwort von Dir. Ich reiß' Dir schon nicht den Kopf ab, keine Sorge! obwohl, wenn ich's mir so überlege wäre das eine echte Alternative... Aber nein, das kommt nicht in Frage. ;)

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)